Nous avons récemment annoncé de nouvelles exigences concernant la validation des développeurs. Elles constituent une couche de protection supplémentaire dans nos efforts continus pour assurer la sécurité des utilisateurs Android. Nous savons que la sécurité est plus efficace lorsqu'elle tient compte des différentes façons dont les utilisateurs se servent de nos outils. C'est pourquoi nous avons annoncé ce changement à l'avance : pour recueillir des commentaires et nous assurer que nos solutions sont équilibrées. Nous apprécions l'engagement de la communauté et avons pris en compte les premiers commentaires, en particulier ceux des étudiants et des amateurs qui ont besoin d'un moyen accessible d'apprendre, et ceux des utilisateurs avancés qui sont plus à l'aise avec les risques de sécurité. Nous apportons des modifications pour répondre aux besoins des deux groupes. 

Pour comprendre comment ces mises à jour s'inscrivent dans notre mission plus large, il est important d'examiner d'abord les menaces spécifiques auxquelles nous faisons face.

Pourquoi la validation est-elle importante ?

La sécurité des utilisateurs sur Android est notre priorité absolue. Nous ne sommes pas novices en matière de lutte contre les escroqueries et la fraude numérique. C'est un aspect central de notre travail depuis des années. De la détection d'escroqueries dans Google Messages à Google Play Protect, en passant par les alertes en temps réel pour les appels frauduleux, nous avons toujours agi pour assurer la sécurité de notre écosystème.

Cependant, les escroqueries en ligne et les campagnes de logiciels malveillants sont de plus en plus agressives. À l'échelle mondiale d'Android, cela se traduit par un véritable préjudice pour les utilisateurs du monde entier, en particulier dans les régions en cours de numérisation rapide où de nombreuses personnes se connectent pour la première fois. Les mesures de sécurité techniques sont essentielles, mais elles ne peuvent pas résoudre tous les scénarios de manipulation des utilisateurs. Les escrocs utilisent des tactiques d'ingénierie sociale à forte pression pour inciter les utilisateurs à ignorer les avertissements conçus pour les protéger.

Par exemple, une attaque courante que nous suivons en Asie du Sud-Est illustre clairement cette menace. Un escroc appelle une victime en prétendant que son compte bancaire est piraté. Il utilise la peur et l'urgence pour l'inciter à installer une "application de validation" afin de sécuriser ses fonds, en lui demandant souvent d'ignorer les avertissements de sécurité standards. Une fois installée, cette application (qui est en fait un logiciel malveillant) intercepte les notifications de la victime. Lorsque l'utilisateur se connecte à sa véritable application bancaire, le logiciel malveillant capture ses codes d'authentification à deux facteurs, ce qui donne à l'escroc tout ce dont il a besoin pour vider le compte.

Nous disposons de mesures de sécurité et de protections avancées pour détecter et supprimer les applications malveillantes. Toutefois, sans vérification, les personnes malintentionnées peuvent créer instantanément de nouvelles applications dangereuses. Cela devient un jeu sans fin de tape-taupe. La validation change la donne en obligeant les pirates informatiques à utiliser une véritable identité pour distribuer des logiciels malveillants. Il devient ainsi beaucoup plus difficile et coûteux de faire évoluer les attaques. Nous avons déjà constaté l'efficacité de cette approche sur Google Play. Nous appliquons désormais ces enseignements à l'ensemble de l'écosystème Android pour nous assurer qu'une identité réelle et responsable se trouve derrière les logiciels que vous installez.

Aider les élèves et les amateurs

Nous avons entendu les préoccupations des développeurs concernant les obstacles à l'entrée lorsqu'ils créent des applications destinées uniquement à un petit groupe, comme la famille ou les amis. Nous utilisons vos commentaires pour créer un type de compte dédié aux étudiants et aux amateurs. Vous pourrez ainsi distribuer vos créations à un nombre limité d'appareils sans avoir à remplir toutes les conditions de validation.

Autonomiser les utilisateurs expérimentés

Bien que la sécurité soit essentielle, nous avons également entendu les développeurs et les utilisateurs avancés qui ont une plus grande tolérance au risque et qui souhaitent pouvoir télécharger des applications non validées.

Sur la base de ces commentaires et de nos échanges continus avec la communauté, nous développons un nouveau flux avancé qui permet aux utilisateurs expérimentés d'accepter les risques liés à l'installation de logiciels non validés. Nous concevons ce flux spécifiquement pour résister à la coercition, en veillant à ce que les utilisateurs ne soient pas amenés à contourner ces contrôles de sécurité sous la pression d'un escroc. Il inclura également des avertissements clairs pour s'assurer que les utilisateurs comprennent parfaitement les risques encourus, mais leur laissera le choix. Nous recueillons actuellement les premiers retours sur la conception de cette fonctionnalité et nous vous communiquerons plus d'informations dans les mois à venir. 

Premiers pas avec l'accès anticipé

Nous sommes ravis de commencer à inviter les développeurs à bénéficier d'un accès anticipé à la validation des développeurs dans l'Android Developer Console pour les développeurs qui distribuent leurs applications exclusivement en dehors de Play. Nous partagerons bientôt des invitations à l'expérience Play Console pour les développeurs Play. Nous avons hâte de répondre à vos questions et de recueillir vos commentaires sur la simplification de l'expérience pour tous les développeurs.

Regardez notre vidéo ci-dessous pour découvrir la nouvelle interface Android Developer Console. Consultez nos guides pour en savoir plus et accéder aux questions fréquentes.

Nous nous engageons à travailler avec vous pour assurer la sécurité de l'écosystème.